Phishing, nuovi attacchi ai conti online: chi rischia adesso
L'ultima campagna di phishing è indirizzata ai clienti di una nota banca online, che stanno ricendo diversi SMS truffa, ma il modo per difendersi c'è
Non passa settimana senza che arrivi la notizia di una nuova campagna di phishing ai danni dei clienti di qualche gruppo bancario. Le stesse banche, ormai, avvisano esplicitamente i propri clienti (di solito attraverso le proprie app ufficiali) quando vengono a conoscenza di campagne truffaldine in corso. L’ultimo esempio, in ordine di tempo, è quello della campagna di phishing contro i clienti di Widiba, banca online del gruppo Monte dei Paschi di Siena.
Phishing Widiba: come funziona
La truffa ai danni dei correntisti Widiba inizia con un SMS, con il quale i truffatori avvertono l’utente di un fantomatico accesso sospetto al conto corrente. L’SMS recita così:
Hai eseguito alle ore 14:13 un accesso all utenza Widiba se non sei tu bloccalo eseguendo la verifica https://bancawidiba.me
Già da questo messaggio, stando bene attenti, si può capire subito che a scrivere non è affatto la banca: ci sono errori di grammatica nel testo e, soprattutto, il sito Web indicato non è quello ufficiale di Widiba.
Se l’utente fa tap sul link, infatti, viene spedito su un sito falso, che imita la grafica del sito Widiba, e che serve a rubargli il nome utente e la password del conto.
Per rendere la truffa più credibile, sullo stesso numero di telefono vengono inviati ulteriori SMS con dei finti codici OTP, in modo da far credere all’utente che qualcuno sta effettivamente provando a violare il suo conto online.
In realtà non è affatto così, nessuno sta provando ad accedere al conto e, in realtà, è l’utente che rischia di regalare l’accesso ai truffatori se visita il sito fake e compila i campi.
Il messaggio di Widiba
Widiba è venuta a conoscenza di questi tentativi di truffa e, per questo, sta inviando dei messaggi di avviso ai suoi clienti. I messaggi sono visibili solo all’interno dell’app della banca, quando l’utente fa l’accesso dal telefono, e recitano così:
Fai attenzione a telefonate, email e SMS sospetti! Difenditi dalle frodi online” La differenza la fai tu.
Seguono dei consigli efficaci, per non cadere nelle trappole del phishing:
- Non condividere con nessuno i tuoi dati personali: Banca Widiba non ti chiederà mai per telefono, email o SMS le tue credenziali di accesso al conto oppure i codici di conferma operazione i i PIN delle tue carte
- Non cliccare su link che ricevi tramite SMS o email
- Contatta solo il numero verde ufficiale di Banca Widiba
Proteggere il conto con la passkey
Oltre a questi sistemi e accorgimenti, per proteggere i propri conti online è fondamentale andare oltre il concetto di nome utente e password. Ormai quasi tutte le banche permettono all’utente di autenticarsi con una passkey, solitamente tramite impronta digitale.
Quando su un conto corrente è attiva una passkey è impossibile fare l’accesso solo con nome utente e password. Ciò vuol dire che, se abbiamo attivato la passkey sul nostro conto, è impossibile che qualcuno stia facendo operazioni sul conto e, di conseguenza, ogni SMS che dice il contrario è certamente una truffa.
Attivando la passkey, quindi, aumentiamo di molto la sicurezza del nostro conto perché anche se qualcuno dovesse riuscire a rubare i nostri dati di accesso non potrebbe, senza la nostra impronta digitale, accedere al conto.
